Ir al contenido principal

FAQs - 50. Plan y Programa de Auditoría

👉¿Cómo debo llenar el template que proporciona Hackmetrix?

R: Aquí te contamos todas las recomendaciones para llenar adecuadamente el template que te proporcionamos (nuestro template más actual cuenta con tres pestañas).

Pestaña de "AI - ISO 27001" (consiste en el listado de requisitos de la normativa):

En la columna de día se debe indicar la fecha en la que se estará auditando cada uno de los requisitos.

  • Estas fechas son las que coordinas con apoyo de tu Customer Success Manager para llevar a cabo la auditoría interna con nosotros.

  • Generalmente, todos los requisitos de ISO 27001 se revisan en la primera sesión, que corresponde a la fase 1 de la auditoría interna.

En la columna de hora se debe indicar el momento en el que fue revisado cada uno de los requisitos.

  • Recomendamos registrar estas horas durante la misma sesión de auditoría interna.

  • No es necesario que sea una hora exacta.

  • Puedes ajustar la columna o añadir en otra, la duración de la revisión de cada uno de los requisitos. Este dato te puede servir, por ejemplo, cuando requieres el apoyo de otras áreas o personas que pueden estar más ocupadas y requieren saber cuánto tiempo necesitan invertir en el ejercicio de auditoría.

En la columna de responsable auditado debes indicar la persona de tu organización que atenderá la revisión de cada uno de los requisitos correspondientes.

  • Para los requisitos de ISO 27001, los cuales generalmente se alcanzan a revisar todos en la primera sesión de la auditoría interna, usualmente es el OSI o el encargado de seguridad el responsable de atender las solicitudes y preguntas del auditor.

  • Pero puedes indicar diferentes responsables para cada requisito, si lo consideran necesario y conveniente para sus operaciones.

Pestaña de "AI - ISO 27002" (consiste en el listado de controles de la normativa):

En la columna de día se debe indicar la fecha en la que se estará auditando cada uno de los controles.

  • Estas fechas son las que coordinas con apoyo de tu Customer Success Manager para llevar a cabo la auditoría interna con nosotros.

  • Generalmente, los controles del anexo A de ISO 27001 (es decir, la ISO 27002) se revisan en la segunda y tercera sesión, que corresponde a la fase 2 de la auditoría interna.

En la columna de hora se debe indicar el momento en el que fue revisado cada uno de los controles.

  • Recomendamos registrar estas horas durante la misma sesión de auditoría interna.

  • No es necesario que sea una hora exacta.

  • Puedes ajustar la columna o añadir en otra, la duración de la revisión de cada uno de los controles. Este dato te puede servir, por ejemplo, cuando requieres el apoyo de otras áreas o personas que pueden estar más ocupadas y requieren saber cuánto tiempo necesitan invertir en el ejercicio de auditoría.

En la columna de responsable auditado debes indicar la persona de tu organización que atenderá la revisión de cada uno de los controles correspondientes.

  • A diferencia de la revisión de los requisitos, en esta segunda fase de auditoría interna se deben involucrar a otras áreas de la organización, como por ejemplo Tecnología, Desarrollo, Operaciones, Soporte, Producto, etcétera (también dependerá de las áreas alcanzadas dentro de tu SGSI), para poder atender la revisión de todos los controles y mostrar la evidencia de cumplimiento pertinente.

  • Incluso es súper recomendable que esté todo el comité de seguridad y/o la alta dirección.

Pestaña de "Plan"

Primeras columnas del template:

  • Nombre de la actividad: En esta columna debes indicar los nombres de las revisiones, inspecciones, auditorías, etcétera de las cuales vas a planificar su ejecución.

    • Para la planificación de auditorías sí es recomendable indicar si es interna, externa, de seguimiento o vigilancia (que son aquellas que corresponden al primer y segundo año de certificación de ISO 27001), etcétera. Pero como tal no existen nombres definidos, puedes colocarlos como te parezca más conveniente.

  • Procesos a inspeccionar: Aquí debes indicar cuáles son los procesos alcanzados por las revisiones, inspecciones o auditorías.

    • Para el caso de las auditorías de ISO 27001, estos procesos corresponden a los que se encuentran declarados en tu enunciado de alcance del SGSI.

    • Si estás implementando una revisión de accesos, por ejemplo, puedes indicar que el proceso a revisar es el “Procedimiento de Revisión de Accesos”.

    • En un caso muy particular donde no se están revisando procesos, puedes indicar “no aplica” o alguna leyenda similar.

  • Sistemas alcanzados: Aquí debes indicar cuáles son los sistemas o herramientas alcanzados por las revisiones, inspecciones o auditorías.

    • Siguiendo el ejemplo anterior; si estás realizando una revisión periódica de accesos, debes indicar en esta columna cuáles son los sistemas de los cuales se deben verificar los usuarios, y sus roles y permisos otorgados.

  • Empresa que realiza la revisión: Aquí debes indicar quién es el responsable de llevar a cabo la revisión, inspección o auditoría.

    • Si es una revisión interna, puedes colocar el nombre de tu empresa.

    • Para auditorías internas, puedes indicar que el responsable es Hackmetrix.

    • Para auditorías externas, debes indicar el nombre de la casa certificadora con la que estás trabajando.

  • Frecuencia de revisión: Periodicidad con la que se llevarán a cabo las revisiones, inspecciones o auditorías.

    • Las auditorías, tanto internas como externas, deben llevarse a cabo de manera anual (teniendo en cuenta que lo ideal es reservar un periodo previo de preparación).

    • Todas las otras actividades de revisión se recomienda que se realicen también por lo menos una vez al año.

Continuación de columnas dentro del template:

  • Método de auditoría: Esto corresponde a la manera en la que se llevará a cabo la actividad de revisión.

    • Por ejemplo, realizando entrevistas a los colaboradores involucrados, haciendo muestreos por medio de una selección aleatoria de elementos, ya sean sistemas, documentos, componentes de la infraestructura tecnológica, etcétera.

  • Tipo de revisión: En esta columna debes indicar qué tipo de revisión es.

    • No existen tipos definidos de revisiones, puedes colocar cualquier cosa que te haga definir mejor la actividad. Algunos ejemplos pueden ser revisión organizacional, revisión lógica, revisión física, revisión departamental, etcétera.

  • Responsable: Debes indicar el área o persona dentro de tu empresa que será el responsable de llevar a cabo la actividad de revisión correspondiente, cuando aplique.

  • Espacio para la planificación, con base en los meses del año: En estas columnas debes indicar con una “x”, o de la forma en que lo consideres más conveniente, los meses en los cuáles se estarán realizando cada una de las actividades de revisión.

    • Esto debe estar alineado y ser coherente con la periodicidad que definiste en la columna de “Frecuencia de revisión”.

💡 En esta pestaña puedes planificar las revisiones de acceso que se establecen dentro del Procedimiento de Revisión de Accesos, los ejercicios de Ethical Hacking, las pruebas de continuidad, la revisión de respaldos de información según lo definido en el Procedimiento de Gestión de Backups, etcétera.

Artículos relacionados
50. Plan y Programa de Auditoría
55. Auditoría interna del SGSI
Todo lo que necesitas saber sobre una auditoría interna y cómo hacerla con Hackmetrix
¿Cómo entender y atender una auditoría externa?
Plan y Programa de Auditoría Interna (para SGIA)
¿Ha quedado contestada tu pregunta?